La France franchit une étape importante dans la lutte contre la fraude bancaire avec le lancement du FNC-RF (Fichier National des Comptes signalés pour Risque de Fraude), un dispositif national de partage des IBAN frauduleux opéré par la Banque de France.
Échéance clé : 11 mai 2026. Établi par la loi du 6 novembre 2025, le FNC-RF sera pleinement opérationnel début mai 2026. Tous les Prestataires de Services de Paiement (PSP) en France seront tenus d’y participer au plus tard le 11 mai, certains participant au programme pilote dès le 7 mai. L’environnement de test sera ouvert le 2 mars.
Dates clés en un coup d’œil
| 6 novembre 2025 | FNC-RF – établi par la loi |
| 2 mars 2026 | Ouverture de l’environnement de test |
| 7 mai 2026 | Tests pilotes en production pour certains participants |
| 11 mai 2026 | FNC-RF – Tous les PSPs ont l’obligation d’être raccordés à la plateforme |
Qu’est-ce que le FNC-RF ?
Le FNC-RF constituera un registre centralisé recensant les comptes bancaires français (IBAN) suspectés d’être utilisés à des fins frauduleuses, que ce soit pour commettre une fraude ou ouverts par un « fraudeur » ; il sera hébergé par la Banque de France.
Cette initiative anti-fraude vise à mieux protéger le système bancaire français contre les arnaques aux virements et autres fraudes financières. Les Prestataires de Services de Paiement pourront consulter la liste des comptes « frauduleux » lors de l’exécution des paiements ou lors de l’ajout d’un bénéficiaire par exemple, ajoutant ainsi une couche de protection supplémentaire.
La Banque de France a décidé de s’appuyer sur la plateforme MISP (Malware Information Sharing Platform), une plateforme open source conçue à l’origine pour le partage de renseignements sur les cybermenaces, désormais adaptée au partage de données sur la fraude financière. Le système est conçu avec de solides garanties en matière de protection des données. La conformité au RGPD est assurée en limitant le nombre de personnes ayant accès aux données des comptes, et la Commission Nationale de l’Informatique et des Libertés (CNIL) émet des avis sur les mesures de mise en œuvre relatives à la collecte, au stockage et à la consultation des données.
Par ailleurs, le système est intégralement financé par les Prestataires de Services de Paiement et fonctionne comme une initiative collaborative de partage de renseignements pour l’ensemble du marché.
Comment fonctionne-t-il?
Les PSP continueront de suivre leurs propres processus internes pour signaler et identifier les activités potentiellement frauduleuses. Toutefois, dès lors que des soupçons sont établis, ils sont tenus par la nouvelle loi de signaler le compte concerné. Ce partage de renseignements constitue une base permettant de bloquer les futures transactions vers des coordonnées bancaires déjà signalées.
En cas d’identification d’un compte suspect, les PSP doivent suivre un processus strict visant à concilier prévention agressive de la fraude et protection des droits des titulaires de comptes, articulé autour des trois étapes clés suivantes :
1. Blocage possible des transactions à haut risque
La fonction principale du FNC-RF est de permettre aux banques de bloquer les flux suspects avant qu’ils ne soient finalisés.
2. Restrictions à la clôture de compte
Une protection essentielle pour les consommateurs en 2026 est qu’un simple signalement dans le FNC-RF ne donne pas à une banque le droit de mettre fin arbitrairement à la relation avec un client, ni d’empêcher les transactions sur le compte. Le registre FNC-RF n’agira pas, à proprement parler, comme une liste noire.
3. Obligations de rectification immédiates
Afin d’éviter les « faux positifs » susceptibles de geler la vie financière d’une personne, les banques ont des obligations strictes de mise à jour. Elles doivent effectuer des « déclarations rectificatives » sans délai dès que les motifs de suspicion de fraude disparaissent.
4. Doublons dans le registre
Si plusieurs événements de fraude liés au même compte bénéficiaire sont détectés , le fonctionnement standard de MISP enregistrera autant d’objets de compte suspect qu’il y a d’événements de fraude créés. Dans ces cas, la plateforme centrale n’effectuera aucune consolidation ni réplication des informations relatives à ces objets de compte suspect. Il incombera donc au PSP de procéder à la « déduplication » de ces objets en local, pour son usage interne.
Quelles données sont partagées avec le registre FNC-RF ?
les métadonnées partagées avec le registre FNC-RF pour tout nouvel événement de fraude comprennent :
- Catégorie de fraude
- Source de la fraude
- Type de transaction
- Canal de transaction
Les données de suivi pour chaque événement de fraude comprennent :
- UUID / Libellé
- Date de signalement
- Date de dernière mise à jour
- PSP déclarant
Par ailleurs, les données principales de chaque événement de fraude incluent :
- Compte SEPA (oui/non)
- Identifiant de compte – IBAN
- Identifiant de compte – BBAN
- BIC
- Autre identifiant PSP
Options de connexion pour les PSP
La Banque de France a fourni des spécifications techniques permettant aux PSP d’accéder au système FNC-RF et d’y contribuer. La documentation de l’outil MISP est disponible sur leur site internet. Un environnement sandbox est disponible et utilisé pour les tests.
Les PSP disposent de trois options principales pour se connecter au système FNC-RF:
- Le PSP gère sa propre licence et son propre système MISP et se synchronise avec l’instance MISP de la Banque de France. Dans ce cas, l’intégralité de la base de données est synchronisée de manière globale.
- Le PSP effectue des appels API individuels vers l’API de l’instance MISP de la Banque de France plusieurs fois par jour pour récupérer le fichier central et disposer d’une copie locale pour ses besoins métiers.
- Le PSP choisit de recourir à un Prestataire de Services Techniques et décide laquelle des deux options décrites ci-dessus il souhaite que le prestataire mette en œuvre.
Concernant les options de connexion, la Banque de France a émis plusieurs recommandations :
- L’instance MISP de la Banque de France ne doit pas être sollicitée individuellement pour chaque transaction de paiement.
- Les participants doivent conserver une copie locale de la base de données centrale du FNC-RF (à des fins de traitement et pour les besoins métiers du PSP).
- La Banque de France recommande d’utiliser le mode MISP-to-MISP (afin d’optimiser les fonctions de synchronisation).
- Toutes les actions, synchronisations et appels seront toujours initiés par le PSP (la Banque de France ne poussera jamais de données vers les PSP sans demande préalable).
- Si le PSP décide d’appeler l’API de la Banque de France, il lui sera recommandé d’effectuer plusieurs appels API quotidiens pour garantir la pertinence de la donnée.
À noter que la connexion du PSP au système doit être réalisée au plus tard le 11 mai 2026.
Authentification: L’accès nécessite des certificats délivrés par des autorités de certification de type RGS 2/3 étoiles. La Banque France communiquera aux PSPs les autorités de certification acceptées.
Une initiative s’inscrivant dans un mouvement européen plus large
Le FNC-RF s’aligne sur les initiatives européennes plus larges en matière de banque ouverte et de prévention de la fraude. La création de ce registre est cohérente avec le processus en cours de sécurisation des paiements SEPA prévu par le droit de l’UE.
Des dispositifs similaires pourraient être adoptés dans d’autres États membres de l’UE dans le cadre de l’évolution du cadre réglementaire, notamment le règlement sur les services de paiement (PSR) proposé et FRIDA (en tant que précurseur du PSR), publiés par la Commission européenne en juin 2023, qui prévoient expressément la mise en place de mécanismes de partage d’informations entre PSP sur les comptes suspects.
Le FNC-RF fonctionne en parallèle d’autres outils de prévention de la fraude, notamment le système de Vérification du Bénéficiaire (VoP), devenu obligatoire dans tous les pays de la zone euro en octobre 2025, qui vérifie la correspondance entre l’IBAN et le nom du bénéficiaire avant l’exécution des virements. Ensemble, ces mesures créent un écosystème complet de prévention de la fraude qui renforce la sécurité du système de paiement européen.
L’impact potentiel est considérable : l’initiative FNC-RF vise à lutter contre la fraude aux virements et la fraude aux prélèvements automatiques, qui représentaient des pertes de 334 millions d’euros en 2023. La substitution d’IBAN, déjà rendue plus détectable par les mesures de contrôle imposées aux PSP pour les virements, sera rendue significativement plus difficile grâce à ce partage systématique d’informations sur les comptes suspects.
Modernisation des outils et processus existants
La législation modernise également le Fichier National des Chèques Irréguliers (FNCI). Les banques ont désormais l’obligation de signaler les chèques rejetés « dans les plus brefs délais » lorsqu’ils sont rejetés pour falsification ou contrefaçon. Cela codifie les pratiques existantes du secteur et sécurise la procédure de mise à jour du fichier.
Par ailleurs, l’accès aux données du FNCI a été élargi afin de permettre aux banquiers de vérifier la validité des chèques lorsqu’ils sont présentés au paiement, et pas seulement lors de leur encaissement. Cette extension ciblée de l’accès au FNCI renforce l’efficacité de cet outil de prévention de la fraude.
De plus, l’URSSAF (organisme de recouvrement des cotisations de sécurité sociale) est habilitée à signaler les comptes suspectés d’être frauduleux.
Afin de garantir la transparence et la responsabilité, des indicateurs de performance relatifs au fichier sont inclus dans le rapport annuel de l’Observatoire de la Sécurité des Moyens de Paiement (OSMP).